上传文件，如果直接上传带病毒的文件，可以攻击到对应服务器吗？

seven_OTM

有个文件导入的功能 导入特地格式的文件 服务器进行解析
要支持zip压缩包格式的文件 导入后服务端解压并解析包里的文件
我们后端的处理上传文件方式是传到oss 再下载下来解析

问：1.要是压缩包里有木马病毒 服务端防得住吗？
2.我要怎么模拟生成这种带病毒的压缩包去测？

还是说病毒 必须手动去运行才会触发 只是放在压缩包里进行解压是触发不了的？

dph5199278

其实楼上大佬们已经解答了，我说下我的意见：


要支持zip压缩包格式的文件 导入后服务端解压并解析包里的文件
==》
实在怕解析途中运行的话，可以用docker rootless或podman等容器技术或沙盒等技术，在内部进行解析，将解析结果回传


1.要是压缩包里有木马病毒 服务端防得住吗？
==》
如果是你用代码进行解压的话，可以将执行权限去除


2.我要怎么模拟生成这种带病毒的压缩包去测？
==》
可以自己简单写个在当前目录下创建一个文件的程序，解析完，发现这个文件生成了，就当成病毒成功

来自星星的我

鄙人拙见：压缩包里边的病毒是触发不了的，必须要解压后再运行才能触发

DancingRain

需要解压

chenxingfeng

一般木马是需要运行才会触发病毒的传播

cattie

各个系统都有自己抵抗病毒等方式；
linux权限对于新建的文件一般不会给execution权限的；
windows没有管理员权限也不能修改受保护的设置。
所以除非server安装的系统版本存在远程执行漏洞（讲个熟悉的：永恒之蓝），否则一般病毒都是执行不了的。

还有一点，就是服务器接受上传文件的代码中不存在主动“执行文件”操作，否则以上都是白搭

yfd52

不可以，要执行，才有用。

psvajaz

1、把压缩包解压到没有执行权限的目录就可以了。
2、木马要看具体什么木马，有些事获取服务器权限，有些是攻击浏览器的。 如果是获取服务器权限，第一点可以解决
3、解析文件不一定是执行文件，也有可能是sql攻击脚本，具体看你文件的情况

linuxdev

所有病毒必须要加载到内存中的可执行区域地址才能运行。在缓存区域是无效的。不进内存也是无效的。没有例外

冰露㊣神

1. 是否存在目录穿越漏洞，比如我可以从传 ../../../../../../1.txt，那这样可能会导致任意文件覆盖
2. 是否存在权限分配不当问题，你的web服务以什么用户权限启动的，尽量非root
3. 是否存在jsp解析，或者类似的web文件后缀解析问题，可以上传webshell，文件白名单可以防止
zip解压缩的实现方式等安全性考虑